Explicarea ordinii sau ierarhiei de procesare a politicilor de grup

Configurare noua (How To)

Situatie

Atunci când legați obiectele de politică de grup (GPO) de containerele de utilizatori și/sau computere din Active Directory, este important să înțelegeți ordinea în care acestea sunt procesate. Vom analiza conceptele privind domeniul de aplicare și precedența politicilor de grup în domeniile AD. Prioritatea unui GPO este determinată de ordinea în care acesta este aplicat – cu cât o politică este aplicată mai târziu, cu atât prioritatea sa este mai mare.

Atunci când descrieți domeniul de aplicare al politicilor de grup, trebuie să vă amintiți acronimul important LSDOU. LSDOU este o regulă mnemonică care facilitează memorarea ordinii în care sunt procesate politicile de grup:

L (Local GPO) – Local Group Policy Object este cel mai mic nivel de prioritate permite configurarea și aplicarea unor setări specifice numai pentru computerul local (utilizator).
S (Site GPO) – se aplică tuturor obiectelor dintr-un anumit site Active Directory.
D (Domain GPO) – se aplică la nivelul rădăcinii domeniului pentru toate obiectele din cadrul domeniului
OU (Organizational Unit GPO) – este cel mai înalt nivel de prioritate și se aplică unui anumit OU din cadrul unui domeniu. GPO atribuit unui OU cuib(copil) are o prioritate mai mare decât GPO atribuit unui OU părinte.

Solutie

Setările descrise în GPO al OU au prioritate. De exemplu, dacă o anumită opțiune Windows este activată la nivelul politicii de domeniu, dar dezactivată la nivelul unității organizaționale (OU) țintă printr-o altă politică, setarea va fi dezactivată pe dispozitivul client. Acest lucru se datorează faptului că politica cea mai apropiată de obiect în ierarhia Active Directory are prioritate(ultimul GPO din ierarhie câștigă).

Dacă mai multe GPO-uri sunt legate de un singur OU, acestea sunt aplicate în ordinea în care au fost legate. Ordinea în care se aplică GPO în acest caz este determinată de Link Order.

GPO-urile dintr-un OU sunt procesate în ordine inversă (de jos în sus), ceea ce înseamnă că politica cu ordinea de legătură 1 este procesată ultima. Se pot muta săgețile din consola GPMC(pentru a gestiona GPO-urile într-un domeniu Active Directory, utilizați snap-in-ul Group Policy Management – gpmc.msc), pentru a modifica ordinea de legătură a GPO-ului prin deplasarea acestuia în sus sau în jos.

Se poate înlocui ordinea implicită în care sunt aplicate politicile de grup în AD utilizând următoarele opțiuni:

  • Modificați Link Order(descrisă mai sus)
  • Block Inheritance(Blocare moștenire) – în mod implicit, OU-urile copii moștenesc toate GPO-urile de la părintele lor, dar puteți bloca această moștenire dacă este necesar. Apsați click dreapta pe OU și selectați Block Inheritance. Acest lucru va împiedica aplicarea tuturor politicilor GPO de nivel superior la această OU și la OU-urile sale fiice (dacă există)
  • Enforce GPO – atunci când un GPO este executat, i se acordă cea mai mare prioritate, indiferent de domeniul său de aplicare. Aceasta înseamnă că setările sale nu pot fi anulate de alte GPO și nu sunt afectate de opțiunea Block Inheritance
  • Disable GPO Link – opțiunea poate fi utilizată pentru a împiedica aplicarea unui GPO la un anumit container AD(OU).

În mod implicit, politica de grup se aplică tuturor computerelor și utilizatorilor dintr-un container Active Directory și din containerele sale inferioare. Înțelegerea ordinii în care este procesată politica de grup și a domeniului de aplicare al acesteia vă ajută să determinați care GPO are prioritate.

Tip solutie

Permanent

Voteaza

Up Down
(1 din 5 persoane apreciaza acest articol)
Share
Tweet
Share

Despre Autor

Leave A Comment?